KR101399719B1 - Upgradable security module - Google Patents
Upgradable security module Download PDFInfo
- Publication number
- KR101399719B1 KR101399719B1 KR1020087013094A KR20087013094A KR101399719B1 KR 101399719 B1 KR101399719 B1 KR 101399719B1 KR 1020087013094 A KR1020087013094 A KR 1020087013094A KR 20087013094 A KR20087013094 A KR 20087013094A KR 101399719 B1 KR101399719 B1 KR 101399719B1
- Authority
- KR
- South Korea
- Prior art keywords
- module
- status
- security module
- security
- communication port
- Prior art date
Links
- 238000004891 communication Methods 0.000 claims abstract description 41
- 238000003860 storage Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000002955 isolation Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 4
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000004913 activation Effects 0.000 abstract description 9
- 230000009849 deactivation Effects 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 7
- 102100035087 Ectoderm-neural cortex protein 1 Human genes 0.000 description 3
- 101000877456 Homo sapiens Ectoderm-neural cortex protein 1 Proteins 0.000 description 3
- 244000045947 parasite Species 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- XDLMVUHYZWKMMD-UHFFFAOYSA-N 3-trimethoxysilylpropyl 2-methylprop-2-enoate Chemical compound CO[Si](OC)(OC)CCCOC(=O)C(C)=C XDLMVUHYZWKMMD-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/123—Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/436—Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
- H04N21/4367—Establishing a secure communication between the client and a peripheral device or smart card
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/443—OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/163—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
본 발명의 목적은 적응성으로 인한 임의의 새로운 공격 가능성을 회피하면서, 최신 세대와 그 이전 세대들의 상이한 기능 및 물리적 구성을 지원할 수 있는 보안 모듈을 제공하는 것이다.It is an object of the present invention to provide a security module capable of supporting different functionalities and physical configurations of the latest generation and previous generations while avoiding any new attack potential due to adaptability.
이 목적은 호스트 장치에 대한 제 1 통신 수단, 제 1 저장 수단(MEM0) 및 제 1 해독 수단(ENC0)을 포함하는 보안 모듈로서, 상태 모듈(SM) 및 제 2 통신 수단(COM1) 및 상기 제 2 수단의 물리적 활성화 또는 비활성화 수단(TSB)을 포함하고, 이러한 활성화 또는 비활성화는 상태 모듈(SM)에 의해 관리되는 보안 모듈에 의해 달성된다.This object is achieved by a security module comprising a first communication means for a host device, a first storage means (MEM0) and a first decryption means (ENC0), comprising a status module (SM) and a second communication means (COM1) 2 means of physical activation or deactivation means (TSB), which activation or deactivation is accomplished by a security module managed by a status module (SM).
보안 모듈, 암호, 해독, 디스크램벌러, 방송 매체 Security module, password, decryption, disk rambler, broadcast media
Description
본 발명은 전자 보안 모듈 분야에 관한 것으로서, 특히 방송 이벤트 및 기타 방송 매체에 대한 액세스 제어를 위한 보안 모듈에 관한 것이다.The present invention relates to the field of electronic security modules, and more particularly, to a security module for access control to broadcast events and other broadcast media.
보안 동작은 일반적으로 멀티미디어 유닛 또는 디코더와 관련된 보안 모듈에서 실행된다. 그러한 보안 모듈은 특히 네 가지 상이한 형태로 실시될 수 있다. 그 중 한 형태는 주로 ISO 7816 형태의 보호형 마이크로프로세서 카드, 스마트 카드 또는 보다 일반적으로는 전자 모듈(키, 배지 등의 형태)이다. 이러한 모듈은 일반적으로 디코더에 대해 탈착 가능하며 접속가능하다. 전자 접촉부를 갖는 형태가 가장 일반적으로 사용되는 형태이지만, 예를 들어 ISO 14443 타입과 같은 접촉부를 갖지 않는 접속도 가능하며 또는 이들의 조합도 가능하다.Security operations are typically performed in a security module associated with a multimedia unit or decoder. Such a security module may be implemented in four different ways in particular. One type is a protected microprocessor card, a smart card, or more generally an electronic module (in the form of a key, a badge, etc.) in the form of ISO 7816. These modules are generally detachable and connectable to the decoder. Although forms with electronic contacts are the most commonly used form, connections that do not have contacts, such as, for example, the ISO 14443 type, are possible, or combinations thereof.
공지되어 있는 제 2 형태의 보안 모듈은 집적 회로 패키지로서 일반적으로 디코더 케이스 내에 분리할 수 없게 고정되는 방식으로 위치한다. 다른 형태는 SIM 모듈 커넥터와 같은 커넥터 또는 퓨즈-베이스(fuse-base) 상에 실장된 회로로 이루어진다.The second type of known security module is located in an integrated circuit package in such a way that it is generally fixed in the decoder case inseparably. Another form consists of a connector such as a SIM module connector or a circuit mounted on a fuse-base.
제 3 형태에서는, 보안 모듈이 예를 들어 디코더 디스크램블링 모듈 또는 디코더 마이크로프로세서와 같은 다른 기능을 갖는 집적 회로 패키지에 통합된다.In a third form, the security module is integrated into an integrated circuit package having other functions, such as, for example, a decoder descrambling module or a decoder microprocessor.
실제로는, 디코더 세트에 사용되는 제 1 모듈과 최신 디코더에 설치된 모듈 사이의 이들 보안 모듈의 진화가 두드러진다. 예를 들어 위성, 케이블 또는 인터넷을 통해 동일 세트의 매체 배포 오퍼레이터 내에서 여러 세대의 보안 모듈이 공존할 수 있다.In practice, the evolution of these security modules between the first module used in the decoder set and the module installed in the latest decoder is outstanding. For example, several generations of security modules may coexist within the same set of media distribution operators via satellite, cable, or the Internet.
보안 결함이 검출되면, 구 모듈의 교체가 이루어진다.If a security flaw is detected, the old module is replaced.
모듈 세대들 간의 차는 흔히 관련 사용자 장치에 허용되는 서비스와 관련이 있다. 모듈 버전이 "퍼스(purse)" 기능을 갖고 있지 않으면, 크레디트(credit)로부터 공제하는 것이 불가능할 것이며 따라서 관리 센터와 양방향 교환없이 컨텐츠 소비를 허용하는 것이 불가능할 것이다.The differences between the module generations are often related to the services allowed for the relevant user equipment. If the module version does not have a "purse" function, it will not be possible to deduct from the credit and therefore it will be impossible to allow content consumption without a bidirectional exchange with the management center.
따라서, 어떤 세대의 모듈은 제한된 수의 서비스를 제공할 것이다.Thus, some generations of modules will provide a limited number of services.
이것은 또한 사용자의 유닛이 이전 세대들의 모든 모듈과 호환성을 유지하는 데 제약이 된다. 현재 사용되는 프로세스는 사용자의 유닛이 보안 모듈을 식별하는 것이다. 이 식별은 또한 양방향일 수 있는데, 즉 보안 모듈이 사용자의 유닛에게 동일한 특징을 알도록 요구한다.This also limits your unit's ability to maintain compatibility with all modules of previous generations. The currently used process is that the user's unit identifies the security module. This identification can also be bi-directional, i.e. requiring the security module to know the same characteristics to the user's unit.
보안 모듈 세대가 변경되면, 예를 들어 새로운 통신 포트의 가용성에 의해 요소(material)가 변경될 수 있다. 그러한 보안 모듈의 일례가 미국 특허 6,779,734에 개시되어 있다.If the security module generation is changed, for example, the material may be changed by the availability of a new communication port. An example of such a security module is disclosed in U.S. Patent 6,779,734.
따라서, 보안 모듈이 사용자의 유닛에 맞게 조정되고 사용자의 유닛의 통신 수단에 따라 그 기능을 조정할 수 있는 것이 중요하다.Thus, it is important that the security module is tailored to the user ' s unit and is capable of adjusting its functionality according to the communication means of the user ' s unit.
부정한 제 3자가 변경된 디코더를 사용하여, 최신 세대의 디코더처럼 보이게 함으로써 고가 서비스에 액세스하려고 할 수 있다. 이 모드에서는, 그 사용자는 자신에게 유리하도록 보안 모듈의 내부 메모리의 변경을 시도할 것이다. 또한, USB 2.0과 같은 고급 통신 수단이 있는 경우, 그러한 모듈은 이들 제 3 자가 다른 훨씬 더 느린 통신 수단(ISO7816)에 비해 이들 고속 통신 수단에 의해 그들의 공격을 배가하도록 할 수 있게 한다.An unauthorized third party may attempt to access the high value service by making it look like the latest generation decoder, using the changed decoder. In this mode, the user will attempt to change the internal memory of the security module to favor himself. In addition, if there are advanced communication means such as USB 2.0, such a module allows these third parties to double their attacks by means of these high-speed communication means compared to other much slower means of communication (ISO 7816).
특허출원 EP 1 486 907에서는, 보안 모듈이 환경에 따라 구성 가능하다. 그 목적은 호스트 장치에 의해 수신된 신호에 따라서 자동 구성을 수행하는 것이다. 따라서, 악의의 제 3자가 특정 환경을 모방하면, 그 모듈은 허가되지 않는 경우에도 이 환경에 적응할 것이다.In the patent application EP 1 486 907, the security module is configurable according to the environment. Its purpose is to perform automatic configuration according to the signal received by the host device. Thus, if a malicious third party imitates a particular environment, the module will adapt to this environment even if it is not allowed.
본 발명의 목적은 이 적응성으로 인한 임의의 새로운 공격 가능성을 회피하면서, 최신 세대와 그 이전 세대들의 상이한 기능 및 물리적 구성을 지원할 수 있는 보안 모듈을 제공하는 것이다.It is an object of the present invention to provide a security module capable of supporting different functionalities and physical configurations of the latest generation and previous generations while avoiding any new attack potential due to this adaptability.
이 목적은 호스트 장치에 대한 제 1 통신 수단, 제 1 저장 수단(MEM0) 및 제 1 해독 수단(ENC0)을 포함하는 보안 모듈로서, 상태 모듈(SM) 및 제 2 통신 수단(COM1) 및 상기 제 2 수단의 전기적 활성화 또는 비활성화 수단(TSB)을 포함하고, 이러한 활성화 또는 비활성화 수단이 상태 모듈(SM)에 의해 제어되며 상기 상태 모듈의 변경을 허용하는 보호 메시지의 수신 수단을 포함하는 보안 모듈에 의해 달성된다.This object is achieved by a security module comprising a first communication means for a host device, a first storage means (MEM0) and a first decryption means (ENC0), comprising a status module (SM) and a second communication means (COM1) 2 means of electrical activation or deactivation means (TSB), said activation or deactivation means being controlled by a status module (SM), and means for receiving a protection message allowing the modification of said status module .
따라서, 모듈 상태 메모리에 저장된 상태에 따르면, 제 2 통신 수단은 완전히 작용하지 않고 부정한 목적을 위해 제 3자에 의해 사용될 수 없다. 통신 수단의 전기적 활성화/비활성화는 암호 동작의 결과에 따라서 3상(tri-state) 소자 또는 "고전압 양방향(High Voltage bidirectional) MOSFET"과 같은 요소 수단에 의해 제어된다.Thus, according to the state stored in the module state memory, the second communication means is not fully functional and can not be used by a third party for an unjust purpose. The electrical activation / deactivation of the communication means is controlled by elemental means such as a tri-state device or "High Voltage bidirectional MOSFET" depending on the result of the encryption operation.
이것은 메모리 구역(memory zone)과 같은 보안 모듈의 다른 부분에 대해서도 마찬가지다. 이 메모리는 키 또는 일련번호와 같은 데이터를 포함할 수 있는데, 이것은 메모리 상태에 따라서 완전히 비활성화되어 액세스하는 것이 불가능하다. 이 메모리 상태는 로킹 또는 언로킹 요소 신호를 송신하여, 해크 프로그램이 그러한 모듈에서 동작하는 경우에도, 이 메모리에 액세스할 수 없다. 동일한 구조가 디코딩 엔진 또는 비대칭 해독 모듈과 같은 다른 소자에 적용될 수 있다.This also applies to other parts of the security module, such as the memory zone. This memory may contain data, such as a key or serial number, which is completely inactive and inaccessible due to memory conditions. This memory state transmits a locking or unlocking element signal, so that even if the hack program operates in such a module, it can not access this memory. The same structure can be applied to other elements such as a decoding engine or an asymmetric decoding module.
보안 모듈의 동작 모드를 정의하기 위한 여러 해법이 있다.There are several solutions for defining the operating mode of the security module.
A. 사전 구성(Pre-configuration)A. Pre-configuration
보안 모듈의 제조시에 또는 상기 모듈의 개인화 단계 동안에, 특정 환경에 따라 보안 모듈이 기능하도록 사전 구성된다. 이 사전 프로그래밍은 초기화 환경에서 사전 구성의 다른 단계 동안에 변경될 수 있다.During manufacture of the security module or during the personalization phase of the module, the security module is pre-configured to function according to the particular environment. This pre-programming can be changed during the different phases of the pre-configuration in the initialization environment.
B. 메시지 활성화(Message Activation)B. Message Activation
초기화시에, 모듈은 기본 모드에 있고, 모든 게스트 장치에 공통인 통신 수단만이 활성화된다. 사전 구성에 따르면, 모듈은 그러한 모듈의 목적을 고려하는 특정 모드에 있을 수 있다. 보안 모듈의 상태를 변경하고 다른 기능들을 활성화하기 위해, 모듈은 보호 메시지의 수신을 기다리는데, 이 보호 메시지는 그러한 변화를 수행하는 것을 허락한다. 그러한 메시지를 디코딩한 후와 이 메시지의 확인 후에만, 모듈은 자신의 상태를 변경하여 제 2 통신 수단을 개방할 것이다.At initialization, the module is in the basic mode and only communication means common to all guest devices are activated. According to a preconfiguration, the module may be in a particular mode that considers the purpose of such a module. To change the state of the security module and activate other functions, the module waits to receive a protection message, which allows the protection message to perform such a change. After decrypting such a message and only after confirmation of this message, the module will change its state to open the second communication means.
도 1은 보안 모듈의 전체 구조를 도시한 도면.1 shows the overall structure of a security module;
도 2는 입력/출력 포트의 제어를 도시한 도면.2 shows control of an input / output port;
본 발명의 예로서 주어진 도면을 참조로 한 이하의 상세한 설명을 통해 보다 잘 이해할 수 있을 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The invention will be better understood by reference to the following detailed description taken in conjunction with the accompanying drawings, in which: FIG.
도 1은 본 발명의 일실시예를 포함하는 보안 모듈(security module)의 일례를 도시한 것이다. 이 예에 따르면, 이 모듈은 제 1 통신 수단(COM0) 및 제 2 통신 수단(COM1)을 포함한다. 이와 유사하게, 메모리 자원은 마이크로프로세서 프로그램에 사용될 수 있는 MEM0 및 MEM1과 같이 여러 부분(여기서는 2개)으로 나누어진다.1 shows an example of a security module including an embodiment of the present invention. According to this example, this module includes a first communication means COM0 and a second communication means COM1. Similarly, memory resources are divided into several parts (here two), such as MEM0 and MEM1, which can be used in a microprocessor program.
본 예에서는, 모듈이 제 1 암호/해독 모듈(ENC0) 및 제 2 암호/해독 모듈(ENC1)을 구비한다.In this example, the module has a first encryption / decryption module ENC0 and a second encryption / decryption module ENC1.
도 1의 예에 따르면, 암호/해독 모듈은 고속 제 2 통신 수단(COM1)과 연결된다. DVB 공통 디스크램블러 표준(DVB Common Descrambler standards) 또는 사용자의 디스크램블러에 따라 오디오/비디오 데이터 플로우의 해독이 가능해진다. According to the example of FIG. 1, the encryption / decryption module is connected to the high-speed second communication means COM1. The decoding of the audio / video data flow according to the DVB Common Descrambler standards or the user's descrambler becomes possible.
다른 모듈은 CPU 프로세서에 연결되는데, 이 CPU 프로세서는 동작을 조정하고, 모듈을 개시하며, 모듈로부터의 결과를 다른 모듈로 전송한다.The other module is connected to the CPU processor, which coordinates the operation, initiates the module, and transfers the results from the module to the other module.
상태 모듈(SM; state module)이라고 하는 특정 모듈은 소정 모듈의 활성화 및 비활성화를 제어하고 보다 일반적으로는 보안 모듈의 동작을 제어한다. 도 1의 특정 예에 따르면, 이 상태 모듈(SM)은 제 2 통신 수단(COM1), 제 2 암호/해독 수단(ENC1) 및 제 2 저장 수단(MEM1)을 제어한다. 이 메모리의 상태에 따라서, 모듈을 활성화 또는 비활성화하는 신호가 프로세서에 의해 독립적으로 전송된다.A specific module, called a state module (SM), controls activation and deactivation of a given module and more generally controls the operation of the security module. According to the specific example of Fig. 1, the status module SM controls the second communication means COM1, the second encryption / decryption means ENC1 and the second storage means MEM1. Depending on the state of this memory, signals that activate or deactivate the module are independently transmitted by the processor.
이 활성화가 도 2에 도시되어 있는데, 여기서 상태 모듈(SM)은 커맨드를 제1 통신 수단(COM0)으로 전송하고 있고, 이 커맨드는 또한, 예를 들어 3상(tri-state), "고전압 양방향 MOSFET" 또는 보안 모듈의 물리적 접속을 갈바닉 절연시키는 임의의 다른 소자와 같은 절연 회로(TSB)와 같은 로킹 소자에 의해 발신 또는 수신된 신호에 대해 작용한다. 이 소자는 통신 라인을 고임피던스 모드로 함으로써 통신 라인을 절연시킬 수 있다. 따라서 상태 모듈은 COM0 통신의 전기적 활성화/비활성화를 제어한다.This activation is shown in FIG. 2, where the status module SM is sending a command to the first communication means COM0, which may also be, for example, a tri-state, Quot; MOSFET "or any other device that galvanically isolates the physical connection of the security module, such as an isolation circuit (TSB). This device can isolate the communication line by placing the communication line in high impedance mode. Thus, the status module controls the electrical activation / deactivation of the COM0 communication.
보안 모듈이 제 1 통신 수단(COM0)을 비활성화하면, 상태 모듈(SM)은 제 1 통신 수단(COM0) 상의 활동(activity)을 지속적으로 감시한다. 상태 모듈(SM)은 패러사이트(parasite)의 도착을 계속해서 확인하면 경고 메시지를 발할 수 있다.When the security module deactivates the first communication means COM0, the status module SM continuously monitors the activity on the first communication means COM0. The status module (SM) may issue a warning message if it continues to acknowledge the arrival of the parasite.
상태 모듈(SM)에 영향을 미치는 다른 방법이 있다. 서두에 개시한 바와 같이, 보안 모듈은 사용자의 유닛으로부터 수신된 데이터에 따라서 어느 상태가 이 유닛에 대응하는 지를 판정한다.There are other ways to affect the status module (SM). As disclosed at the beginning, the security module determines which state corresponds to this unit according to the data received from the user's unit.
보안 메시지를 사용하는 변형예에 따르면, 이 메시지가 보안 모듈에 의해 수신되어 확인되면 상태 모듈의 상태가 변한다.According to a variant using a secure message, the status of the status module changes when this message is received and acknowledged by the security module.
이 변형예에 따르면, 이 메시지는 프로세서에 의해 해독되어 확인되고, 그 결과는 상태 모듈(SM)에 저장된다. 따라서, 이것은 관련된 다른 모듈의 방향으로 향하는 커맨드를 가진 메모리로서 작용하고 모든 통신 경로의 활동을 감시하기 위하여 감시 모듈로서 작용한다.According to this variant, this message is decrypted and confirmed by the processor, and the result is stored in the status module SM. It thus acts as a memory with commands directed to the direction of the other modules concerned and acts as a monitoring module to monitor the activity of all communication paths.
다른 대안예에 따르면, 모든 또는 일부 메시지는 상태 모듈(SM)에 의해 직접 처리된다. 이 메시지는 프로세서에 의해, 예를 들면 제 1 저장 수단(MEM0)에 포함된 보안 모듈에 적합한 키에 의해 사전에 처리된 후에 상태 모듈로 전송될 수 있다. 상태 모듈은 메시지에 포함된 클린 키(Ksm)를 갖는데, 이 클린 키에 의해 커맨드를 확인할 수 있을 것이다. 이 확인은 비대칭 키 및 상태 메모리의 모듈의 키(Ksm)인 다른 비대칭 키를 갖는 일반화된 메시지에서 서명을 사용하는 것과 같은 몇몇 공지된 방법에 따라 행해질 수 있다. 마이크로프로세서는 상태 모듈에 포함되는 키를 알지 않고 상태 메모리에 액세스할 수 없다. 상태 모듈만이 관리 센터에 의해 마련된 메시지를 받아들일 수 있다.According to another alternative example, all or some of the messages are handled directly by the status module SM. This message can be sent by the processor to the status module after it has been pre-processed by a key suitable for the security module contained in, for example, the first storage means MEMO. The status module has a clean key (Ksm) included in the message, which will be able to identify the command. This verification can be done according to some known methods, such as using a signature in a generalized message having an asymmetric key and another asymmetric key that is the key (Ksm) of the module of the state memory. The microprocessor can not access the state memory without knowing the key contained in the state module. Only the status module can accept messages prepared by the Management Center.
확인이 정확하면, 새로운 상태가 상태 모듈에 로딩되고, 다른 모듈들 상에 후속 결과가 나타난다.If the verification is correct, the new state is loaded into the state module and subsequent results appear on the other modules.
본 발명의 다른 프로세스에 따르면, 상태 모듈은 보안 모듈의 상태의 감시 동작을 수행한다. 상태 모듈은 예를 들어 정의 공급 전압(Vdd)(일반적으로는 5V)을 수신하며, 이것은 공급 모듈(PS)로 진행하고 갑작스런 전압 변화, 또는 비정상적으로 높거나 낮은 전압과 같은 위험 동작을 관측한다. 규정된 표준에 따르면, 예를 들어 에러 메시지를 생성하거나 상기 모듈의 특정 기능을 비활성화함으로써 메시지를 수신하지 않고 그 상태를 변화시킬 수 있을 것이다. 통신 경로(COM1, COM0)는 상태 모듈(SM)에 의해 감시된다. 통신 경로에 의해, ISO7816 표준에 따른 I/O 경로 또는 USB 경로 또는 적외선 포트를 포함하는 고속 데이터 전송 포트와 같은 보안 모듈 등에 대해 입력 또는 출력 데이터를 통과시키는 경로를 이해할 수 있을 것이다. 따라서, 접속 경로는 공급부(Vdd, Vss), 클록(CLK), 리셋(RST)과 같은 호스트 모듈과 링크되는 다른 경로들이다.According to another process of the present invention, the status module performs a monitoring operation of the status of the security module. The status module receives, for example, the defined supply voltage Vdd (typically 5V), which goes to the supply module PS and observes a dangerous operation such as a sudden voltage change, or an abnormally high or low voltage. According to the prescribed standard, it will be possible to change its state without receiving a message, for example by generating an error message or deactivating a particular function of the module. The communication paths COM1 and COM0 are monitored by the status module SM. By way of communication path, it will be understood a path that passes input or output data to a security module, such as an I / O path according to the ISO 7816 standard, or a high speed data transfer port including a USB path or an infrared port. Thus, the connection path is other paths that are linked to the host module, such as the supply (Vdd, Vss), clock (CLK), reset (RST)
마찬가지로, 제 1 통신 수단과 같은 통신 수단에 패러사이트 및 노이즈가 존재하면, 그 상태를 변경할 수 있거나 대책을 개시할 수 있다. 또한, 상태 모듈(SM)은 한편으로는 통신 경로 또는 감시 접속부에 특유하고 다른 한편으로는 상태 모듈의 상태에 따르는 감시 프로파일을 포함할 수 있다. 따라서, 접속 경로의 적절한 성능의 확인 파라미터는 상태 모듈의 상태에 따라서 변할 수 있다. 한 상태에서는 +/- 10%의 전압 변화가 허용되지만, 다른 상태에서는 단지 +/- 5%만이 허용될 수도 있다. 이것은 패러사이트 또는 마이크로컷(microcut) 등의 수에 대해서 도 마찬가지다. 이들 파라미터는 프로그램 가능하며 보안 메시지를 수신함으로써 수정될 수 있다.Likewise, if there are parasites and noise in the communication means such as the first communication means, the state can be changed or measures can be initiated. The status module SM may also include a monitoring profile that is specific to the communication path or monitoring connection on the one hand and the status of the status module on the other hand. Therefore, the verification parameter of the proper performance of the connection path may vary depending on the state of the status module. In one state, a voltage variation of +/- 10% is allowed, but in another state only +/- 5% may be allowed. This also applies to numbers such as parasites or microcuts. These parameters are programmable and can be modified by receiving a secure message.
이 감시는 통신 경로 또는 수단이 비활성화되는 경우에도 행해질 수 있다.This monitoring can also be done if the communication path or means is deactivated.
상태 모듈(SM)은 보안 모듈의 내부 자원을 제어할 수도 있다. 제 2 저장 수단(MEM1)은 부분적으로 또는 완전히 비활성화될 수 있다. 또한, 이 비활성화는 전자 커맨드(판독 및/또는 기록 로킹)에 의해 또는 상기 메모리의 공급에 직접 작용함으로써 이루어질 수 있다. 이 메모리는 판독 전용, 기록 전용 또는 판독/기록 상태에 따라 규정될 수 있다. 이는 암호/해독 모듈(ENC0, ENC1)과 같은 보안 모듈의 다른 자원에 대해서도 마찬가지다. 상태 모듈(SM)은 상태 모듈의 상태에 따라 허용되거나 또는 금지되는 모듈 및/또는 기능을 제어할 수 있다. 이들 기능의 예로는 클록의 정규 메커니즘 또는 고속 데이터 전송 내부 버스의 사용을 들 수 있다. 이들 모듈의 예로는 클록 생성기, 암호/해독 모듈, 메모리, 충전 펌프 등에 의한 전압 조절기를 들 수 있다.The status module (SM) may control the internal resources of the security module. The second storage means MEM1 may be partially or completely inactivated. This deactivation can also be achieved by electronic commands (read and / or record locking) or by acting directly on the supply of the memory. This memory can be defined according to the read-only, write-only or read / write states. This also applies to other resources of the security module such as the encryption / decryption module (ENC0, ENC1). The status module SM can control modules and / or functions that are allowed or prohibited depending on the status of the status module. Examples of these functions are the regular mechanism of the clock or the use of a high-speed data transfer internal bus. Examples of these modules are voltage regulators by a clock generator, an encryption / decryption module, a memory, and a charge pump.
보안 모듈의 인입 메시지는 바람직하게는 관리 센터로부터 전송된다. 이 메시지는 제 1 또는 제 2 통신 수단에 의해 보안 모듈에 도달할 수 있다. 보안 모듈 및 그 호스트 장치의 위치에서의 초기화 시에, 메시지는 보안 모듈에 대한 호스트 장치를 통해 전송된다. 관리 센터는 호스트 장치의 특징 및 관련 가입자의 가입을 인식하며 작업 상태를 포함하는 보안 모듈에 대한 메시지를 포맷한다. 이 메시지는 각각의 보안 모듈에 특유하거나, 모든 보안 모듈에 대해 동일하며 사용자 유닛의 버전 및 보안 모듈의 보안 레벨을 포함하는 메시지일 수 있다. 따라서, 8 개의 상이한 기존의 사용자 유닛이 존재하면, 전송 흐름에서 8 개의 메시지가 있을 것이며, 이들 각각의 메시지는 사용자 유닛의 버전 및 보안 모듈에 대응하는 구성을 포함한다.The incoming message of the security module is preferably sent from the management center. This message can reach the security module by the first or second communication means. Upon initialization at the location of the security module and its host device, the message is transmitted via the host device to the security module. The management center recognizes the characteristics of the host device and the subscription of the relevant subscriber and formats the message for the security module containing the job status. This message may be a message that is unique to each security module, is the same for all security modules, and includes the version of the user unit and the security level of the security module. Thus, if there are eight different existing user units, then there will be eight messages in the transmission flow, each of which contains a configuration corresponding to the version of the user unit and the security module.
다른 실시예에 따르면, 각각의 호스트 장치는 메시지를 저장하는데, 이 메시지는 보안 모듈에 접속시에 보안 모듈로 전송된다. 보안 모듈의 상태는 호스트 장치의 사양과 일치할 것이다.According to another embodiment, each host device stores a message, which is transmitted to the security module upon connection to the security module. The status of the security module will match the specification of the host device.
보안 모듈이 그 상태를 결정하였으면, 이 상태를 유지하며 따라서 로킹된다. 보안 모듈이 새로운 초기화를 수락하기 위해, 관리 센터는 새로운 구성 프로세스를 허락하는 메시지를 송신할 수 있다. 이 메시지는 조건부일 수 있는데, 즉, 재시작 조건으로서 보안 모듈 버전 표시 또는 상태 모듈의 상태를 가질 수 있다.Once the security module has determined its state, it remains in this state and is therefore locked. In order for the security module to accept the new initialization, the management center may send a message allowing the new configuration process. This message may be conditional, that is, it may have a status of the security module version indication or status module as a restart condition.
Claims (14)
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05111532.7 | 2005-11-30 | ||
| EP05111532A EP1793322A1 (en) | 2005-11-30 | 2005-11-30 | Adaptable security module |
| PCT/EP2006/069150 WO2007063108A1 (en) | 2005-11-30 | 2006-11-30 | Upgradable security module |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080069666A KR20080069666A (en) | 2008-07-28 |
| KR101399719B1 true KR101399719B1 (en) | 2014-05-26 |
Family
ID=36617333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020087013094A KR101399719B1 (en) | 2005-11-30 | 2006-11-30 | Upgradable security module |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8782767B2 (en) |
| EP (2) | EP1793322A1 (en) |
| KR (1) | KR101399719B1 (en) |
| CN (1) | CN101322134B (en) |
| BR (1) | BRPI0620519B1 (en) |
| CA (1) | CA2632054C (en) |
| ES (1) | ES2531910T3 (en) |
| HK (1) | HK1114200A1 (en) |
| WO (1) | WO2007063108A1 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2006298428B2 (en) * | 2005-10-06 | 2012-09-06 | Safend Ltd. | Method and system for securing input from an external device to a host |
| KR101460614B1 (en) * | 2007-11-20 | 2014-11-13 | 삼성전자주식회사 | Method and secure module for communication with host, method and apparatus for communication with secure module, method and apparatus for controlling secure module |
| CN101510167B (en) * | 2009-03-31 | 2016-04-20 | 阿里巴巴集团控股有限公司 | A kind of method of plug-in component operation, Apparatus and system |
| US11310198B2 (en) | 2017-05-31 | 2022-04-19 | Crypto4A Technologies Inc. | Integrated multi-level or cross-domain network security management appliance, platform and system, and remote management method and system therefor |
| WO2018218349A1 (en) * | 2017-05-31 | 2018-12-06 | Crypto4A Technologies Inc. | Hardware security module |
| US11321493B2 (en) | 2017-05-31 | 2022-05-03 | Crypto4A Technologies Inc. | Hardware security module, and trusted hardware network interconnection device and resources |
| GB201902470D0 (en) | 2019-02-22 | 2019-04-10 | Secure Thingz Ltd | Security data processing device |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1486907A1 (en) * | 2003-06-12 | 2004-12-15 | Axalto S.A. | Method and system for multiplexing smart card electric connections |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5237609A (en) * | 1989-03-31 | 1993-08-17 | Mitsubishi Denki Kabushiki Kaisha | Portable secure semiconductor memory device |
| US5149945A (en) * | 1990-07-05 | 1992-09-22 | Micro Card Technologies, Inc. | Method and coupler for interfacing a portable data carrier with a host processor |
| WO1993002430A2 (en) * | 1991-07-17 | 1993-02-04 | Ward, William | Electronic travel pass |
| EP0774144B1 (en) * | 1995-06-02 | 2004-08-04 | Koninklijke Philips Electronics N.V. | Chip-card |
| US5794164A (en) * | 1995-11-29 | 1998-08-11 | Microsoft Corporation | Vehicle computer system |
| US5682032A (en) * | 1996-02-22 | 1997-10-28 | Philipp; Harald | Capacitively coupled identity verification and escort memory apparatus |
| US6065679A (en) * | 1996-09-06 | 2000-05-23 | Ivi Checkmate Inc. | Modular transaction terminal |
| US6268802B1 (en) * | 1997-02-18 | 2001-07-31 | At&T Corp. | Personal reach system with improved paging capabilities |
| US6055581A (en) * | 1997-08-18 | 2000-04-25 | International Business Machines Corporation | Vital product data concentrator and protocol converter |
| US6438666B2 (en) * | 1997-09-26 | 2002-08-20 | Hughes Electronics Corporation | Method and apparatus for controlling access to confidential data by analyzing property inherent in data |
| US6385727B1 (en) * | 1998-09-25 | 2002-05-07 | Hughes Electronics Corporation | Apparatus for providing a secure processing environment |
| US6768774B1 (en) * | 1998-11-09 | 2004-07-27 | Broadcom Corporation | Video and graphics system with video scaling |
| US6573905B1 (en) * | 1999-11-09 | 2003-06-03 | Broadcom Corporation | Video and graphics system with parallel processing of graphics windows |
| US6636222B1 (en) * | 1999-11-09 | 2003-10-21 | Broadcom Corporation | Video and graphics system with an MPEG video decoder for concurrent multi-row decoding |
| US6661422B1 (en) * | 1998-11-09 | 2003-12-09 | Broadcom Corporation | Video and graphics system with MPEG specific data transfer commands |
| US6538656B1 (en) * | 1999-11-09 | 2003-03-25 | Broadcom Corporation | Video and graphics system with a data transport processor |
| US6553481B1 (en) * | 2000-04-18 | 2003-04-22 | Swapcard.Com Inc. | System and method for smart card with memory |
| US6772239B2 (en) * | 2000-04-18 | 2004-08-03 | Swapcard.Com Inc. | Computer product and method for smart card |
| TW571245B (en) * | 2000-09-15 | 2004-01-11 | Nagracard Sa | Multi-ports card |
| US6625703B2 (en) * | 2000-11-02 | 2003-09-23 | International Business Machines Corporation | Verifying primary and backup copies of vital information for a processing system employing a pseudo-fixed reference identifier |
| US6543690B2 (en) * | 2000-12-04 | 2003-04-08 | Schlumberger Malco, Inc. | Method and apparatus for communicating with a host |
| TW542378U (en) * | 2002-02-08 | 2003-07-11 | C One Technology Corp | Multi-functional electronic card capable of detecting a card insertion |
| JP2004103703A (en) * | 2002-09-06 | 2004-04-02 | Ricoh Co Ltd | Semiconductor device and processing system of signals having different levels using that semiconductor device |
| CZ2005209A3 (en) * | 2002-09-10 | 2005-12-14 | Ivi Smart Technologies, Inc. | Safe biometric verification of identity |
| US7324450B2 (en) * | 2003-03-31 | 2008-01-29 | Intel Corporation | Method and apparatus for programming a functionality of an integrated circuit (IC) |
| US7446646B2 (en) * | 2003-06-30 | 2008-11-04 | Nokia Corporation | System and method for supporting multiple reader-tag configurations using multi-mode radio frequency tag |
| US7472834B2 (en) * | 2003-07-09 | 2009-01-06 | Stmicroelectronics S.A. | Dual-mode smart card |
| US7383982B2 (en) * | 2003-08-27 | 2008-06-10 | Ricoh Company, Ltd. | Card recognition system for recognizing standard card and non-standard card |
| EP1511313A1 (en) * | 2003-08-29 | 2005-03-02 | Thomson Licensing S.A. | Control device, smart card reading activation device and associated products |
-
2005
- 2005-11-30 EP EP05111532A patent/EP1793322A1/en not_active Withdrawn
-
2006
- 2006-11-30 EP EP06830247.0A patent/EP1955248B1/en active Active
- 2006-11-30 CN CN2006800449940A patent/CN101322134B/en active Active
- 2006-11-30 BR BRPI0620519-4 patent/BRPI0620519B1/en active IP Right Grant
- 2006-11-30 ES ES06830247.0T patent/ES2531910T3/en active Active
- 2006-11-30 CA CA2632054A patent/CA2632054C/en active Active
- 2006-11-30 WO PCT/EP2006/069150 patent/WO2007063108A1/en active Application Filing
- 2006-11-30 US US12/095,483 patent/US8782767B2/en active Active
- 2006-11-30 KR KR1020087013094A patent/KR101399719B1/en not_active IP Right Cessation
-
2008
- 2008-08-19 HK HK08109242.9A patent/HK1114200A1/en not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1486907A1 (en) * | 2003-06-12 | 2004-12-15 | Axalto S.A. | Method and system for multiplexing smart card electric connections |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007063108A1 (en) | 2007-06-07 |
| CA2632054C (en) | 2016-01-12 |
| HK1114200A1 (en) | 2008-11-21 |
| CN101322134A (en) | 2008-12-10 |
| CA2632054A1 (en) | 2007-06-07 |
| CN101322134B (en) | 2012-04-11 |
| EP1955248B1 (en) | 2015-01-07 |
| ES2531910T3 (en) | 2015-03-20 |
| EP1955248A1 (en) | 2008-08-13 |
| US8782767B2 (en) | 2014-07-15 |
| BRPI0620519B1 (en) | 2019-12-10 |
| US20080307499A1 (en) | 2008-12-11 |
| KR20080069666A (en) | 2008-07-28 |
| EP1793322A1 (en) | 2007-06-06 |
| BRPI0620519A2 (en) | 2018-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101399719B1 (en) | Upgradable security module | |
| US9483632B2 (en) | Intelligent controller system and method for smart card memory modules | |
| RU2377655C2 (en) | Protection module component | |
| US8239592B2 (en) | Smart card with self-detachment features and related methods | |
| US8887270B2 (en) | Smart storage device | |
| EP1132800B1 (en) | Non-wire contact device application for cryptographic module interfaces | |
| WO2003058409A2 (en) | Protecting a device against unintended use in a secure environment | |
| AU2005248693A1 (en) | Apparatus and method for operating plural applications between portable storage device and digital device | |
| US7328849B2 (en) | Smart card providing data mapping for multiple applications and related methods | |
| CN101930409A (en) | The control method of memory storage, memory storage and computer program | |
| JP2004527827A (en) | Data processing device | |
| US7904607B2 (en) | Smart card with self-reconfiguration features and related methods | |
| US8577035B2 (en) | Electronic circuit for securing data interchanges between a computer station and a network | |
| US8095805B2 (en) | Security flash memory, data encryption device and method for accessing security flash memory | |
| US6889298B2 (en) | Battery-based secured storage binding system | |
| IES20110508A2 (en) | Process for retrieving an identifier of a security module | |
| IES86015Y1 (en) | Process for retrieving an identifier of a security module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| N231 | Notification of change of applicant | ||
| A201 | Request for examination | ||
| AMND | Amendment | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| J201 | Request for trial against refusal decision | ||
| AMND | Amendment | ||
| E902 | Notification of reason for refusal | ||
| B701 | Decision to grant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170511 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180510 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |